Một diễn viên bị nghi ngờ do nhà nước trung quốc tài trợ đã vi phạm cơ quan cấp chứng chỉ kỹ thuật số cũng như các cơ quan chính phủ và quốc phòng ở các quốc gia khác nhau ở châu Á như một phần của chiến dịch đang diễn ra ít nhất kể từ tháng 3 năm 2022.
Symantec, của Broadcom Software, đã liên kết các cuộc tấn công với một nhóm đối thủ mà nó theo dõi dưới tên hóa đơn, trích dẫn việc sử dụng các công cụ trước đây được cho là của diễn viên này. Hoạt động này dường như được thúc đẩy bởi hoạt động gián điệp và đánh cắp dữ liệu, mặc dù cho đến nay không có dữ liệu nào được cho là đã bị đánh cắp.
Billbug, còn được gọi là Elgin đồng, Lotus Blossom, Lotus Panda, Spring Dragon và Thrip, là một nhóm đe dọa liên tục nâng cao (APT) được cho là hoạt động vì lợi ích của Trung Quốc. Các mục tiêu chính bao gồm các tổ chức chính phủ và quân đội ở Đông Nam Á.
Các cuộc tấn công do kẻ thù thực hiện vào năm 2019 liên quan đến việc sử dụng các cửa hậu như Hannotog và Sagerunex, với các vụ xâm nhập được quan sát thấy ở Hồng Kông, Ma Cao, Indonesia, Malaysia, Philippines và Việt Nam.
Cả hai bộ cấy đều được thiết kế để cấp quyền truy cập từ xa liên tục vào mạng nạn nhân, ngay cả khi tác nhân đe dọa được biết là triển khai một kẻ đánh cắp thông tin có tên là Catchamas trong một số trường hợp nhất định để lấy cắp thông tin nhạy cảm.
Các nhà nghiên cứu của Symantec cho biết: “Việc nhắm mục tiêu vào cơ quan cấp chứng chỉ là đáng chú ý, vì nếu những kẻ tấn công có thể thỏa hiệp thành công để truy cập các chứng chỉ thì chúng có thể sử dụng chúng để ký phần mềm độc hại bằng chứng chỉ hợp lệ và giúp nó tránh bị phát hiện trên máy nạn nhân”. một báo cáo được chia sẻ với The Hacker News.
“Nó cũng có khả năng sử dụng các chứng chỉ bị xâm phạm để chặn lưu lượng HTTPS.”
Tuy nhiên, công ty an ninh mạng lưu ý rằng không có bằng chứng nào cho thấy Billbug đã thành công trong việc xâm phạm các chứng chỉ kỹ thuật số. Cơ quan có liên quan, nó nói, đã được thông báo về hoạt động này.
Một phân tích về làn sóng tấn công mới nhất chỉ ra rằng quyền truy cập ban đầu có khả năng đạt được thông qua việc khai thác các ứng dụng truy cập internet, sau đó sử dụng kết hợp các công cụ riêng biệt và sống xa xứ để đáp ứng các mục tiêu hoạt động của nó.
Điều này bao gồm các tiện ích như WinRAR, Ping, Traceroute, NBTscan, Certutil, ngoài ra còn có một cửa hậu có khả năng tải xuống các tệp tùy ý, thu thập thông tin hệ thống và tải lên dữ liệu được mã hóa.
Cũng được phát hiện trong các cuộc tấn công là một công cụ proxy multi-hop mã nguồn mở được gọi là Stowaway và phần mềm độc hại Sagerunex, được đưa vào máy thông qua Hannotog. Về phần mình, cửa hậu được trang bị để chạy các lệnh tùy ý, loại bỏ các tải trọng bổ sung và hút các tệp quan tâm.
Các nhà nghiên cứu kết luận: “Khả năng tấn công nhiều nạn nhân cùng một lúc của tác nhân này cho thấy rằng nhóm đe dọa này vẫn là một nhà điều hành lành nghề và có nguồn lực tốt, có khả năng thực hiện các chiến dịch lâu dài và trên phạm vi rộng”.
“Billbug dường như cũng không nản lòng trước khả năng hoạt động này được quy cho nó, với việc nó sử dụng lại các công cụ đã được liên kết với nhóm trong quá khứ.”
